フィッシング対策

フィッシングとは

実在のサービスや企業、官公庁等をかたり、偽の電子メールやSMSを送付して、偽サイト（フィッシングサイト）に誘導し、IDやパスワードなどのアカウント情報やクレジットカードのカード番号などを盗んだり、マルウェアに感染させたりする手口です。

情報を盗まれると、アカウントを乗っ取られてお金を奪われたり、インターネット通信販売サイトでクレジットカードなどの情報を不正利用されたりします。また、マルウェアに感染してしまうと、スマートフォンに登録された電話帳の情報が盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。

入力を求められる情報の例

• 金融機関の口座番号、クレジットカード番号、暗証番号（ワンタイムパスワード、乱数表の番号等）
• 住所、氏名、電話番号、生年月日
• 電子メール、インターネットバンキング、SNSアカウント等のID、パスワード等
• 運転免許証、マイナンバーカード、乱数表等の画像情報

よくある相談

事例1

ネット口座を開設している銀行から「重要なお知らせ」という件名のメールが届いたので、記載されたURLにアクセスし、口座番号、暗証番号等を入力した。その後、知らない口座に対して、身に覚えのない多額の送金をされていることが分かった。

事例2

クレジットカード会社から「クレジットカード情報の確認」という件名のSMSが届いたので、記載されたURLにアクセスし、カード情報を入力した。後日、クレジットカードの支払い明細を見ると、身に覚えのない支払いがあった。

事例3

大手通販サイトから、「アカウントで不正なログインが確認されたため、アカウントをロックしました。解除するには下記のURLから手続してください。」というSMSが届き、慌ててURLに接続し、当該大手通販サイトのIDとパスワードを入力してしまった。

事例4

携帯電話に宅配業者から「お荷物のお届けにあがりましたが、不在でしたので持ち帰りました。」という不在通知（SMS）を受信したので、記載されていたURLにアクセスし、荷物追跡のアプリをインストールした。そうしたところ、知らない間に、携帯電話に登録している電話番号に対して、荷物追跡の内容のSMSが大量に送信されていることが判明した。

フィッシングの手口

フィッシングサイトに誘導する

携帯電話会社、宅配業者、金融機関をかたって電子メールやSMSを送信し、本物そっくりの偽サイト（フィッシングサイト）に誘導する事例が多数確認されているほか、検索サイトの広告から誘引する方法など、様々な誘導方法が確認されています。

電子メール等の文面は、「個人情報の漏えい」、「不正アクセス検知」、「取引の停止」等、切迫感を煽り、ログインさせようとするものが多数確認されています。また、携帯電話の電話番号宛てに送信可能なSMSを悪用し、携帯電話会社、宅配業者、銀行をかたって本物そっくりの偽サイトに誘導する事例を多数確認しています。

そのほか、企業の本物のメールアドレスになりすました電子メールを送信する方法や、官公庁を名乗る電子メールを送信する方法、検索サイトの広告から誘引する方法など、様々な誘導方法が確認されています。

 

＜電子メール等の文面例＞

• あなたのアカウントに不正アクセスがありました。至急以下のサイトからアクセスしてログインしてください。ログインしないとあなたのアカウントは安全のため失効します。
• 〇〇に関する申告の参考となる情報について、メッセージボックスに格納しましたので、内容をご確認ください。
• お客さまのアカウントは○○サービスを更新できませんでした。カードが期限切れになった可能性があります。

 

フィッシングサイトへの誘導手段や手口は日々変化しています。最新の手口については、「フィッシング対策協議会～フィッシングに関するニュース」（https://www.antiphishing.jp/news/）（外部サイトへリンク）を参考にしてください。

送信元情報を偽装する

電子メールは、仕様上、受信者から見える「送信元名称」や「送信元メールアドレス」を変更することが容易であるため、実在の企業等になりすますことができます。したがって、メールソフトに表示される「送信元名称」や「送信元メールアドレス」だけを見てメールの真偽を判断することは困難です。

また、スマートフォンのメールアプリで表示される「送信元名称」や「送信元メールアドレス」は、パソコンに比べて表示項目が少ない場合もあり、メールの真偽の判断はより一層困難となります。

フィッシングの被害に遭ったら

サービス提供会社に相談する（被害の補償等）

フィッシングによって、不正送金の被害に遭った場合は金融機関が、クレジットカードの不正利用の被害に遭った場合はクレジットカード会社が、それぞれ補償制度を設けていたり、トラブルに関する相談窓口を設けているところもあります。被害に遭ったサービスを提供している会社に相談してください。

 

【不正送金への対応】

一般社団法人全国銀行協会「金融犯罪に遭った場合のご相談・連絡先（https://www.zenginkyo.or.jp/hanzai/information/)（外部サイトへリンク）

パスワード等を変更する

フィッシングサイト等に普段から利用しているIDやパスワード等を入力してしまった場合は、そのIDやパスワード等を利用している全てのサービスにおいて、パスワード等を速やかに変更してください。

警察に通報・相談する

フィッシングサイトを発見した場合は、当該フィッシングサイトのURLを

フィッシング110番【インターネット・ホットラインセンター】（https://www.internethotline.jp）（外部サイトへリンク）

に通報してください。

また、フィッシングの被害に遭った場合は、最寄りの警察署又はサイバー事案に関する通報等のオンライン受付窓口（https://www.npa.go.jp/bureau/cyber/soudan.html#touitsu）（外部サイトへリンク）に通報・相談してください。

被害防止対策

電子メールやSMSに記載されているリンクはクリックしない

電子メールに記載されたリンクは偽装可能なほか、正規サイトに類似したドメイン名を付したフィッシングサイトも多く存在することから、見た目でリンクの真偽を判断することは非常に困難です。

電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトを「お気に入り」や「ブックマーク」に登録しておいたり、公式アプリを活用するなどして正しいサイトに接続するようにしてください。

なお、一般的には、金融機関が、ID、パスワード等をメールやSMSで問い合わせることはありません。

パソコンやスマートフォンを安全に保つ

OSやアプリ、ソフトウェアのぜい弱性や不具合を悪用し、広告などからフィッシングサイトに誘導される場合があるので、OSやアプリ、ソフトウェアのアップデートを行い、パソコンやスマートフォンを安全な状態に保ってください。

携帯電話会社等が提供するセキュリティ設定を活用する

携帯電話会社等が提供する迷惑メッセージブロック機能などを活用し、フィッシングメールや不審なSMSが届きづらい設定にしてください。

IDパスワードの使いまわしはしない

複数のサイトで同じID、パスワードを登録している場合、一つでもID、パスワードを盗まれると、銀行やSNS、インターネット通信販売サービスなど全てのサービスが乗っ取られる被害に遭ってしまいます。

ID、パスワードはサイトごとに違うものを登録するようにしてください。ID、パスワードを覚えられない場合には、パスワード管理アプリなどを活用してください。

ワンタイムパスワード等を活用する

銀行やインターネット通信販売サービスでは、パスワードに加え、メールやSMSに通知されるワンタイムパスワードを入力しなければログインすることができないサービス（ワンタイムパスワードサービス）が提供されています。

IDやパスワードが盗まれた時のため、ワンタイムパスワードサービスを活用してください。

指紋や顔認証などの認証方法を活用するとより安全です。

事業者における対策

フィッシングサイトへは、企業の本物のメールアドレスになりすましたメールで誘導するケースも確認されています。

事業者にあっては、自社のドメインの悪用を防止する観点で『送信ドメイン認証技術』の導入をご検討ください。

 

主な『送信ドメイン認証技術』

SPF：メール送信元IPアドレスの妥当性を認証するもの

DKIM：電子署名を検証することで認証するもの

DMARC：SPFとDKIMを組み合わせたもの

特に、DMARCは、認証に失敗したメールの取扱いを送信側で指定でき、「なりすまされているメールは受け取らない」といった強いポリシーを受信側に実施させることができるようになります。

なお、DMARCは、メール送信側の事業者のみならず、メール受信サービスを提供する電気通信事業者における導入も必要ですので、電気通信事業者にあっても積極的な導入を検討してください。

DMARCを含めた送信ドメイン認証に関する技術的な導入マニュアルが、迷惑メール対策推進協議会から公表されています。（https://www.dekyo.or.jp/soudan/aspc/report.html）（外部サイトへリンク）

参考リンク